Обратите внимание: аутентификация клиента и сессии обеспечиваются не серверами безопасности, а другими механизмами, описанными в "Аутентификация клиента" и "Аутентификация сессии".

FireWall-1 поддерживает следующие схемы аутентификации для каждого пользователя:

1. S/Key - Пользователю требуется ввести значения S/Key для данной итерации.
2. SecurID - Пользователю требуется ввести номер, показанный на SecurID карте Security Dynamics (безопасная динамика).
3. По паролю - от пользователя требуют ввести его (или ее) пароль OС.
4. Внутренняя - пользователь должен ввести его (или ее) внутренний пароль FireWall-1 на мосте.
5. RADIUS - пользователь должен ввести ответ на запрос сервера RADIUS.
6. AssureNet Pathways - пользователь должен ввести ответ на запрос сервера AssureNet Pathway (обеспечение сетевого пути).

Проверка потока данных

Возможность проверки содержания расширяет набор возможностей по проверке данных до протоколов самого верхнего уровня. Эта возможность позволяет максимально гибко управлять доступом к сетевым ресурсам.

FireWall-1 обеспечивает проверку содержания для HTTP, SMTP и FTP с использованием серверов безопасности FireWall-1. Для каждого соединения, установленного через сервер безопасности FireWall-1, администратор может управлять доступом в соответствии с различными параметрами протокола данного сервиса: URL, именами файлов, командами FTP PUT/GET, типами запросов и так далее.

Наиболее важное применение проверки содержания - анти-вирусная проверка передаваемых файлов. Анти-вирусная поддержка полностью интегрирована с FireWall-1.

Проверка содержания реализуется через тип обьекта FireWall-1 Resource. Определение обьекта Resource задает ряд составляющих, которые могут быть доступны через определенный протокол. Вы можете задавать FireWall-1 Resource на основе протоколов HTTP, FTP и SMTP.

Например, вы можете задать URI ресурс, чьими атрибутами будет список URL и схем HTTP и FTP. Ресурс может быть использован в базе правил точно таким же образом, как и любой другой тип сервиса, и для него также могут быть определены стандартные процедуры записи события в журнал и оповещения администратора системы для обеспечения возможности наблюдения за использованием данного ресурса.

HTTP

Ресурсы URI могут определять схемы (HTTP, FTP, GOPHER и т.д.), методы (GET,PUT, и т.д.), машины (например, "*.com"), пути и запросы. Также может быть задан файл, содержащий список IP адресов и серверов.

SMTP

Протокол SMTP, разработанный для обеспечения наиболее удобного общения между людьми через Internet, и расширенный для поддержки не только e-mail, но и передачи файлов, предоставляет выбор системному администратору, который хочет одновременно поддерживая прозрачность соединений, не позволять нарушителям проникнуть внутрь сети.

FireWall-1 предлагает сервер SMTP, который обеспечивает максимально детальный контроль над соединениями SMTP. Определяя SMTP ресурсы, администратор безопасности имеет возможности:

§ спрятать в исходящей почте адрес From под стандартным общим адресом, закрыв тем самым внутреннюю архитектуру сети и реальные имена пользователей.

§ перенаправить почту, посланную на данный адрес To (например для root) на другой почтовый адрес.

§ уничтожать всю почту от заданного адреса.

§ обрезать все прикрепленные к письмам файлы.

§ убирать поля Received из исходящей почты для закрытия внутренней структуры сети.

§ уничтожать все письма размера более заданного.

FTP

Сервер безопасности FTP обеспечивает аутентификацию и проверку содержимого, основываясь на командах FTP (PUT/GET), ограничениях на имена файлов и анти-вирусной проверке файлов.

Анти-вирус

Анти-вирусная проверка является составной частью такого свойства FireWall-1, как проверка содержимого потоков данных и значительно снижает уязвимость защищенных машин.

Проверка всех передаваемых файлов проводится с использованием встроенного анти-вирусного модуля. Конфигурация этого механизма (какие файлы проверять, что делать с зараженными файлами) полностью интегрирована в политику безопасности (базу правил). Все инструменты управления и проверки FireWall-1 доступны для журналирования и оповещения о случаях нахождения зараженных файлов.

7.5 Недостатки межсетевых экранов

Отсутствие защиты от авторизованных пользователей

Проблема:

Невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети.

Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ.

Решение:

Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в т.ч. и администратор) или злоумышленник.

Отсутствие защиты новых сетевых сервисов

Проблема:

Невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма "посредников" (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких "посредников" достаточно велико, они существуют не для всех новых протоколов и сервисов.

Решение:

Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy